第16讲拒绝服务攻击.ppt

2019/7/8 网络入侵与防范讲义 32 UDP “ 洪水”实例 2019/7/8 网络入侵与防范讲义 33 SYN 洪水 ? SYN Flood 是当前最流行的拒绝服务攻击方式之一，这是一种利用 TCP 协议缺陷，发送大量伪造的 TCP 连接请求，使被攻击方资源耗尽 (CPU 满 负荷或内存不足 ) 的攻击方式。 ? SYN Flood 是利用 TCP 连接的三次握手过程的特性实现的。 2019/7/8 网络入侵与防范讲义 34 SYN 洪水 ? 在 TCP 连接的三次握手过程中，假设一个客户端向服 务器发送了 SYN 报文后突然死机或掉线，那么服务器 在发出 SYN/ACK 应答报文后是无法收到客户端的 ACK 报文的，这种情况下服务器端一般会重试，并等待 一段时间后丢弃这个未完成的连接。这段时间的长 度我们称为 SYN Timeout 。一般来说这个时间是分钟 的数量级。 ? 一个用户出现异常导致服务器的一个线程等待 1 分钟 并不是什么很大的问题，但如果有一个恶意的攻击 者大量模拟这种情况 ( 伪造 IP 地址 ) ，服务器端将为了 维护一个非常大的半连接列表而消耗非常多的资源。 2019/7/8 网络入侵与防范讲义 35 SYN 洪水 ? 即使是简单的保存并遍历半连接列表也会消耗非常 多的 CPU 时间和内存，何况还要不断对这个列表中 的 IP 进行 SYN+ACK 的重试。 ? 实际上如果服务器的 TCP/IP 栈不够强大，最后的结 果往往是堆栈溢出崩溃 —— 既使服务器端的系统足 够强大，服务器端也将忙于处理攻击者伪造的 TCP 连 接请求而无暇理睬客户的正常请求，此时从正常客 户的角度看来，服务器失去响应，这种情况就称作： 服务器端受到了 SYN Flood 攻击 (SYN 洪水攻击 ) 。 2019/7/8 网络入侵与防范讲义 36 SYN “ 洪水”攻击示意图 入侵者 用户 服务器 服务器 (SYN)　Hello,Im (SYN) Hello,Im here Im waiting…… Im waiting…… Im waiting…… Im waiting…… Im waiting…… Im waiting…… Im ready,Im waiting you Sorry,Im busy 2019/7/8 网络入侵与防范讲义 37 SYN “ 洪水”攻击实例 ? 局域网环境，有一台攻击机 （ PIII667/128/mandrake ），被攻击的是一台 Solaris 8.0 的主机，网络设备是 Cisco 的百兆 交换机。 ? 后面将显示在 Solaris 上进行 snoop 抓包的记录。 ? 注： snoop 与 tcpdump 等网络监听工具一样， 是一个网络抓包与分析工具。 2019/7/8 网络入侵与防范讲义 38 SYN “ 洪水”攻击实例 (2) 攻击示意图： 2019/7/8 网络入侵与防范讲义 39 SYN “ 洪水”攻击实例 (3) ? 攻击机开始发包， DoS 开始了 … ，突然间 Solaris 主机上的 snoop 窗 口开始飞速地翻屏，显示出接到数量巨大的 Syn 请求。这时的屏 幕就好象是时速 300 公里的列车上的一扇车窗。 ? Syn Flood 攻击时的 snoop 输出结果如下页图所示。 2019/7/8 网络入侵与防范讲义 40 SYN “ 洪水”攻击实例 (4) 2019/7/8 网络入侵与防范讲义 41 SYN “ 洪水”攻击实例 (4) ? 此时，目标主机再也收不到刚才那些正常的网络包，只有 DoS 包。 ? 大家注意一下，这里所有的 Syn Flood 攻击包的源地址都是伪造的， 给追查工作带来很大困难。 ? 这时在被攻击主机上积累了多少 Syn 的半连接呢？用 netstat 来看一 下： # netstat -an | grep SYN 。 结果如下页图所示。 2019/7/8 网络入侵与防范讲义 42 2019/7/8 网络入侵与防范讲义 43 SYN “ 洪水”攻击实例 (5) 其中 SYN_RCVD 表示当前未完成的 TCP SYN 队列，统计一下（ wc 是文件内 容统计命令， -l 选项表示统计行数）： # netstat -an | grep SYN | wc -l 5273 # netstat -an | grep SYN | wc -l 5154 # netstat -an